根证书注入 (Root Certificate Injection)

此漏洞的潜在影响非常严重。攻击者成功利用该漏洞后，可以安装恶意根证书，从而拦截并篡改所有通过受影响系统进行的HTTPS流量。这使得攻击者可以窃取敏感数据，例如用户名、密码和信用卡信息。此外，攻击者还可以移除受信任的证书，导致系统无法连接到合法服务，造成服务中断。由于StrongDM通常用于安全访问控制，因此该漏洞可能导致未经授权的访问和数据泄露，进一步扩大了攻击范围。该漏洞的利用方式类似于中间人攻击，但由于StrongDM在系统证书管理中的作用，其影响范围可能比传统的中间人攻击更大。

Organizations heavily reliant on StrongDM for secure access and certificate management are particularly at risk. This includes environments utilizing StrongDM for VPN access, SSH tunneling, or other secure communication channels. Legacy StrongDM deployments with outdated configurations and inadequate monitoring are also more vulnerable.

• windows / supply-chain:

Get-Service StrongDM | Select-Object Status, StartType

• windows / supply-chain:

Get-WinEvent -LogName Application -Filter "EventID = 1000 -Message contains 'StrongDM'" -Newest 100

• windows / supply-chain:

Get-ItemProperty 'HKLM:\SOFTWARE\StrongDM' -Name Version

1. 2025-08-20Disclosure

   disclosure

1. 已保留2025-06-16
2. 发布日期2025-08-20
3. EPSS 更新日期2026-03-23

最有效的缓解措施是立即升级StrongDM Windows服务至47.49.1版本或更高版本。如果升级会导致系统中断，可以考虑回滚至之前的稳定版本，但请注意这只是临时解决方案。在升级期间，建议禁用StrongDM服务，以防止攻击者利用漏洞。此外，可以实施一些额外的安全措施，例如限制对系统证书存储的访问权限，并定期审查系统证书。如果无法立即升级，可以考虑使用Web应用防火墙（WAF）或代理服务器来拦截恶意流量，并配置规则以阻止与恶意证书相关的连接。